La seguridad es una parte fundamental en una web. Yo no podría dormir tranquilo si no tuviera una buena configuración de seguridad en mis webs y, parafraseando a Roy Batty, he visto cosas que vosotros no creeríais.
Pero también es cierto que en torno a este tema de la seguridad de WordPress hay muchas leyendas urbanas. Así que he pensado que sería buena idea dar un repaso a los mitos sobre la seguridad de WordPress.
Tabla de contenidos
- Ocultar o cambiar la ruta de wp-admin protege de los ataques de fuerza bruta
- Cambiar el prefijo de las tablas de la base de datos mejora la seguridad
- Lo único que hace falta para proteger WordPress son un nombre de usuario y una contraseña seguros
- Nadie tiene interés en atacar tu web
- Tu web es segura porque tiene un certificado SSL y está en HTTPS
- Conclusión
Ocultar o cambiar la ruta de wp-admin protege de los ataques de fuerza bruta
Ya sabrás lo que es un ataque de fuerza bruta: un bot prueba en tu web, una tras otra, miles de combinaciones de nombre de usuario y contraseña, con la esperanza de conseguir acceso a ella.
¿Qué usuarios y contraseñas prueban? Pues evidentemente no son caracteres al azar, o no conseguirían nunca nada. Para el nombre de usuario siempre prueban los siguientes:
- admin
- administrator
- test
- {login}
- www
- Las combinaciones de tu nombre de dominio con/sin «www» y el TLD (com, es, net…)
Por eso nunca hay que utilizar ninguno de esos nombres de usuario, y por eso son siempre los primeros que protejo, bloqueando a toda IP que intente utilizar uno de ellos, cuando establezco la configuración de seguridad para los clientes de mi servicio de mantenimiento web y soporte WordPress.
En cuanto a las contraseñas estos bots comprueban, una por una, todas las palabras incluidas en largas listas de las contraseñas más utilizadas (además de probar, evidentemente, el nombre de dominio como password). Por eso estos ataques también se conocen como ataques de diccionario, y por eso nunca hay que utilizar contraseñas comunes.
El caso es que muchos usuarios piensan que ocultar el formulario de login evita que estos bots realicen este tipo de ataques contra su web. De ahí la popularidad de los plugins que deshabilitan wp-login y cambian la ruta de wp-admin por cualquier otra, elegida por el usuario, como WPS Hide Login y otros.
La realidad es que cualquier hacker con unos conocimientos mínimos es capaz de localizar la ruta de login, y ocultarla sólo te protegerá de los pobres intentos manuales de usuarios malintencionados sin conocimientos. Cualquier herramienta de fuerza bruta, si está bien programada, es capaz de evitar esa protección.
Por otro lado, muchos plugins y funcionalidades necesitan conocer esa ruta para trabajar correctamente, y asumen que está donde debe estar. Así, cambiarla puede hacer que algunos de ellos dejen de funcionar.
Cambiar el prefijo de las tablas de la base de datos mejora la seguridad
Si sólo lo has hecho una vez quizá no lo recuerdes, pero uno de los datos que WordPress solicita durante la instalación es el prefijo para las tablas de la base de datos, y si no lo cambias expresamente éste será wp_.
El caso es que se cree que cambiar este prefijo por uno más personalizado hará la web más segura frente a ataques de inyección SQL, pero lo cierto es que esto es totalmente falso y hacerlo no mejora en absoluto la seguridad de la web, como demostraron los investigadores de Wordfence.
La única influencia que esto tiene es algo parecido al efecto placebo: te otorga la tranquilidad de creer que estás mejorando la seguridad de tu site, aunque en realidad no estés haciendo nada positivo en ese aspecto. Al contrario, si lo haces manualmente a posteriori puede salirte el tiro por la culata.
Lo único que hace falta para proteger WordPress son un nombre de usuario y una contraseña seguros
¡NO! ¡No, no, no! Y cometer el error de creer eso puede darte serios disgustos con tu web: una web siempre necesita un software (en el caso de WordPress, un plugin) que mejore su seguridad, además de (¡por supuesto!) mantenerse permanentemente actualizada.
Un nombre de usuario y una contraseña seguros son imprescindibles para la seguridad de tu web, eso es totalmente cierto, pero no son suficientes. Sí que te protegerán contra los ataques de fuerza bruta (como veíamos en el primer punto), pero este tipo de ataques no son la única amenaza para una web.
Todo software tiene fallos, y algunos de ellos causan agujeros de seguridad que pueden permitir que un atacante dañe la web o se haga con el control del sitio. Y WordPress no es una excepción, porque no hay excepción.
La ventaja con WordPress es que hay miles de desarrolladores implicados (lo que significa miles de pares de ojos), y esos fallos se localizan y parchean con rapidez, solucionándose con actualizaciones frecuentes. Por eso deberías mantener tu web actualizada.
Nadie tiene interés en atacar tu web
Hay muchos usuarios que no se preocupan de la seguridad de su web, porque piensan que nadie puede mostrar interés en atacarla. Al fin y al cabo, ¿quién va a querer hackear un blog con cien visitas al día, o la web de una pequeña empresa? No, los hackers sólo se interesan por las webs de Coca Cola, Microsoft o del Banco Mundial.
No, al contrario: la que quieren es la tuya. Pequeñas webs que no gastan miles de euros/dólares en seguridad, y que pueden usar como plataforma para enviar spam o distribuir virus, o que puedan usar en conjunción con otros cientos de otras pequeñas webs hackeadas para lanzar masivos ataques DDoS.
Tu web es segura porque tiene un certificado SSL y está en HTTPS
Aquí hay un error de concepto bastante común, provocado por la expresión «web segura». No, maifrén, no es así. Una web con SSL encripta los datos entre el servidor y los visitantes, y hace segura la comunicación y el traspaso de datos en ambos sentidos. Nada más.
Nada tiene esto que ver con la seguridad de tu web.
Conclusión
Hay muchas cosas que puedes debes hacer para mejorar la seguridad de tu web, pero como ves no todas las que oigas por ahí serán ciertas. WordPress es, de por sí, una plataforma segura como la que más (¡mantenlo actualizado!), pero eso no significa que sea invulnerable. Ninguna lo es.
Si tu web es tu fuente de ingresos con mayor razón, pero no únicamente: si tienes una web personal, un blog, un pequeño sitio para monetizar afiliados, implícate también en su seguridad. Recuerda que, de verse comprometida, puede ser utilizada para atacar otros sitios, enviar spam, etc. Y el responsable eres tú.
Por último, me permito recordarte que mi mantenimiento web y soporte WordPress incluye la configuración de seguridad de la web. Y si tienes cualquier duda estoy a tu disposición a través del formulario de contacto.